セキュリティプレイブック
セキュリティプレイブック とは何ですか?
セキュリティプレイブック特定のアラートや事案について、対応者が何をどの順序で行うかを定めた、文書化された再現可能な手順。
セキュリティプレイブック(ランブック)は、アラートを行動に変える標準的な手順です。トリガー、必要な入力、判断ポイント、エンリッチメント手順、封じ込め動作、コミュニケーションのチェックポイント、クローズ基準を記載します。SOC のナレッジベースに保存することもあれば、SOAR プラットフォーム上でコードとして実行され、サンドボックスへの問い合わせ、ホスト隔離、ユーザー無効化などを自動で行う場合もあります。良いプレイブックはプレッシャー下でも追える短さを保ち、バージョン管理され、机上演習で訓練され、インシデント対応計画と整合し、実事案ごとに振り返って改訂されます。
● 例
- 01
フィッシング用プレイブックがヘッダーを取得し、添付ファイルをサンドボックスで爆破し、配信済みコピーを隔離する。
- 02
SOAR ワークフローが侵害ユーザーを無効化し、トークンを失効させ、IT 部門にチケットを起票する。
● よくある質問
セキュリティプレイブック とは何ですか?
特定のアラートや事案について、対応者が何をどの順序で行うかを定めた、文書化された再現可能な手順。 サイバーセキュリティの 防御と運用 カテゴリに属します。
セキュリティプレイブック とはどういう意味ですか?
特定のアラートや事案について、対応者が何をどの順序で行うかを定めた、文書化された再現可能な手順。
セキュリティプレイブック はどのように機能しますか?
セキュリティプレイブック(ランブック)は、アラートを行動に変える標準的な手順です。トリガー、必要な入力、判断ポイント、エンリッチメント手順、封じ込め動作、コミュニケーションのチェックポイント、クローズ基準を記載します。SOC のナレッジベースに保存することもあれば、SOAR プラットフォーム上でコードとして実行され、サンドボックスへの問い合わせ、ホスト隔離、ユーザー無効化などを自動で行う場合もあります。良いプレイブックはプレッシャー下でも追える短さを保ち、バージョン管理され、机上演習で訓練され、インシデント対応計画と整合し、実事案ごとに振り返って改訂されます。
セキュリティプレイブック からどのように防御しますか?
セキュリティプレイブック に対する防御は通常、上記の定義で述べたとおり、技術的統制と運用上の実践を組み合わせます。
セキュリティプレイブック の別名は何ですか?
一般的な別名: ランブック, 対応手順。
● 関連用語
- defense-ops№ 1062
SOAR
検知・エンリッチメント・対応アクションをプレイブックとして連結し、複数のセキュリティツール上で実行することで SOC のワークフローを自動化・オーケストレーションするプラットフォーム。
- forensics-ir№ 524
インシデントレスポンス
サイバーインシデントの準備・検知・分析・封じ込め・根絶・復旧を体系的に行い、教訓を反映する組織的プロセス。
- forensics-ir№ 525
インシデント対応計画
サイバーインシデントの準備・検知・封じ込め・根絶・復旧・教訓化を、組織としてどう実施するかを定めた承認済みプレイブック。
- forensics-ir№ 1127
机上演習
関係者が会議形式で仮想のサイバーインシデントを通し演じ、計画・役割・意思決定・コミュニケーションを検証するシミュレーション。
- defense-ops№ 845
ポストモーテム
事案後に開催する非難なしのふり返り。時系列・寄与要因を整理し、再発防止や早期検知につながる具体的アクションを決める。